Web前端安全知识

前端页面及网站若不注意安全方面的防护，很容易被别人攻击，窃取用户敏感信息及诱导用户错误操作，
目前，攻击网站前端的主要方式有如下几种：

1. XSS

XSS是Cross Site Scripting的缩写，即跨站点脚本攻击。XSS发生在用户的浏览器端，即当用户在加载HTML文档时执行了非预期的恶意脚本。总结XSS攻击的特点就是：尽一切办法在目标网站上执行非目标网站上原有的脚本。

2. TLS/SSL

早期的网络传输协议由于只在大学内使用, 所以是默认互相信任的. 所以传统的网络通信可以说是没有考虑网络安全的. 早年的浏览器大厂网景公司为了应对这个情况设计了 SSL (Secure Socket Layer), SSL 的主要用途是:

认证用户和服务器, 确保数据发送到正确的客户机和服务器;

加密数据以防止数据中途被窃取;

维护数据的完整性, 确保数据在传输过程中不被改变.

存在三个特性:

机密性：SSL协议使用密钥加密通信数据

可靠性：服务器和客户都会被认证, 客户的认证是可选的

完整性：SSL协议会对传送的数据进行完整性检查

1999年, SSL 因为应用广泛, 已经成为互联网上的事实标准. IETF 就在那年把 SSL 标准化/强化. 标准化之后的名称改为传输层安全协议 (Transport Layer Security, TLS). 很多相关的文章都把这两者并列称呼 (TLS/SSL), 因为这两者可以视作同一个东西的不同阶段.

3. CSRF

CSRF是Cross Site Request Forgery，翻译为跨站请求伪造。

如何防范Web前端攻击

不要信任任何外部传入的数据

防范Web前端攻击的一个重要的常识是：永远也不要相信用户输入的数据，一定要针对用户输入作相关的格式检查、过滤等操作，防止任何可能的前端注入。如下所列的是在前端开发中应用的具体实践方法。

不要信任用户输入的内容

不要信任在任何传入的第三方数据

更安全地使用Cookie

防止网页被其他网站内嵌为iframe